Luận văn Bảo mật thông tin trong hệ thống di động W- CDMA

tr−ờng 32 bit xác định duy nhất MS trong hệ thống. Nó đ−ợc đặt tại nhà máy sản xuất và rất khó có thể thay đổi đ−ợc, nếu muốn thay đổi cần các kỹ thuật đặc biệt và bình th−ờng thuê bao không thể có, các mạch chế tạo ESN phải đ−ợc giữ bí mật với các kẻ phá hoại và ăn cắp, kể cả thiết bị gắn trên bo mạch hay cáp nối trên MS có liên quan cũng phải đảm bảo đ−ợc điều này, nếu có bất kỳ một sự cố ý thay đổi nào thì điều đó sẽ làm cho MS đó lập tức ngừng hoạt động. Cấu trúc của ESN đ−ợc mô tả trên hình d−ới đây, trong đó 8 bit có trọng số lớn nhất 31 -> 24 của 32 bit là mã nhà sản xuất, từ bit 23 -> 18 là các bit dự phòng đ−ợc đặt là 0, và các bit cuối cùng 17 -> 0 đ−ợc dàng riêng cho mỗi nhà sản xuất để các nhà sản xuất lấy các tổ hợp các bit này để gán cho một MS hay một trạm di động duy nhất, khi các tổ hợp còn thiếu các nhà sản xuất sẽ đ−ợc xem xét sử dụng tr−ờng dự trữ. Hình 5.1. Cấu trúc của ESN 024 23 18 17 Bits ặ 31 Số sêri điện tử 18 bit số sêri 6 bit 08 bit của nhà sản xuất c. SSD : (Shared Secret Data) SSD là một mẫu 128 bit đ−ợc l−u trữ trong bộ nhớ bán cố định của MS và đ−ợc AUC của MSC chủ biết. Nh− biểu diễn trên hình d−ới đây, SSD đ−ợc chia thành hai bộ số con tách biệt nhau, mỗi bộ số con cung cấp cho một thủ tục khác nhau. 64 bit SSD– A đ−ợc dùng để thực hiện thủ tục nhận thực còn 64 bit SSD-B đ−ợc sử dụng để thực hiện mật thoại và bảo mật bản tin của WCDMA. Hình 5.2. Sự phân chia vùng SSD SSD – A SSD – B Độ dài: 64 bit 64 bit - 45 - Nhận thực và bảo mật trong hệ thống WCDMA SSD đ−ợc duy trì trong thời gian tắt nguồn. Nó đ−ợc tạo ra bằng cách sử dụng số ngẫu nhiên 56 bit (RANDSSD do AUC của nơi đăng ký tạo ra), khoá A của MS, và ESN. Khi MS chuyển mạng không cần chuyển khoá A từ hệ thống này đến hệ thống khác. Các cập nhật SSD chỉ đ−ợc thực hiện ở MS và HLR/AUC chủ nhà của nó chứ không thực hiện ở hệ thống đang phục vụ (MSC chủ nhà sẽ gửi số này qua mạng thông báo cho hệ thống khách). AUC quản lý các khoá mật mã liên quan đến từng thuê bao khi các chức năng này đ−ợc cung cấp trong hệ thống. d. Bộ nhớ ngẫu nhiên RAND RAND là một số ngẫu nhiên 32 bit l−u trữ tại MS. RAND đ−ợc BS phát đi định kỳ ở số liệu cập nhật hệ thống theo hai đoạn 16 bit: RAND–A và RAND–B trên kênh tìm gọi để cho MS cập nhật. MS sẽ l−u giữ và sử dụng phiên bản mới nhất của RAND trong quá trình để truyền tới BS trên kênh truy nhập. RAND của hệ thống hiện thời có thể khác với RAND mà MS sử dụng khi BS nhận đ−ợc khi MS truy nhập mạng. Nh− vậy giá trị của RAND bằng giá trị thu đ−ợc từ bản tin các thông số cuối cùng của kênh nhắn tìm. Các giá trị RAND đều đ−ợc mật mã hoá tr−ớc khi truyền đi. Đây là một trong số CSDL bán cố định của hệ thống. e. IMSI: nhận dạng thuê bao quốc tế Số nhận dạng trạm di động (MSIN hoặc MIN) đ−ợc định nghĩa theo số nhận dạng trạm thuê bao quốc tế (IMSI) trong khuyến nghị E.212 của ITU_T. IMSI là một tr−ờng 15 số. IMSI đ−ợc chia làm hai phần, phần thứ nhất là mã n−ớc di động MCC, phần thứ hai là số nhận dạng trạm di động quốc gia NMSI. Hình 5.3 : Số nhận dạng trạm di động quốc tế (IMSI). MCC 3 chữ số MNC 2 chữ số MIN 10 chữ số Số nhận dạng trạm di động quốc gia NMSI Nhận dạng thuê bao di động quốc tế - 46 - Bảo mật trong hệ thống di động WCDMA Theo chuẩn IMSI bao gồm một mã nhận dạng MCC 3 chữ số, một MNC (mã mạng di động) 2 chữ số và một MSIN (chỉ số nhận dạng trạm di động) 10 chữ số, các chữ số ở đây đều là cơ số 10. Số nhận dạng trạm di động (MSIN hoặc MIN), đ−ợc biểu diễn ở hình d−ới đây, là một số 34 bit để hình thành 10 chữ số điện thoại. 10 chữ số điện thoại là: D1 D2 D3 - D4 D5 D6 - D7 D8 D9 D10, trong đó D1 D2 D3 là mã vùng, D4 D5 D6 để chỉ trạm chuyển mạch, D7 D8 D9 D10 để chỉ các số riêng cho từng MS Trong đó các bộ số 10 số nhị phân đều đ−ợc ánh xạ từ các bộ 3 số D1 D2 D3, D4 D5 D6, và D8 D9 D10, theo bảng chuyển đổi thập phân thành nhị phân, 4 bit nhị phân đ−ợc ánh xạ từ số D7 từ bảng chuyển đổi BCD. MIN2 MIN1 NPA X NXX XXX Bits 10 MSB 10 4 10 LSB Hình 5.4 : Số nhận dạng trạm di động (MIN hay MSIN) Giả sử có một số điện thoại 10 chữ số là D1D2D3-D4D5D6-D7D8D9D10, trong đó D1D2D3 biểu diễn mã vùng, D4D5D6 biểu diễn trạm chuyển mạch, và D7D8D9D10 để chỉ một số thuê bao riêng biệt. 1. Ba chữ số đầu tiên đ−ợc ánh xạ thành 10 bit (t−ơng ứng với MSIN2) theo thuật toán mã nh− sau: • Biểu diễn 3 số D1 D2 D3 nh− là các số độc lập • Tính toán 100 D1 + 10 D2 + D3 -111 • Chuyển đổi kết quả tính toán đ−ợc ở trên thành số nhị phân bằng cách sử dụng bảng chuyển đổi nh− ở hình d−ới đây 2. Ba chữ số tiếp theo d−ợc ánh xạ thành 10 bit của tr−ờng MSIN1 theo thuật toán t−ơng tự ở trên 3. Bốn chữ số cuối cùng đ−ợc ánh xạ thành 14 bit cuối của MSIN1(hay MIN1) theo cách nh− sau: - 47 - Nhận thực và bảo mật trong hệ thống WCDMA • Chữ số hàng nghìn đ−ợc ánh xạ theo bảng chuyển đổi BCD, giống nh− bảng d−ới đây. • Ba chữ số cuối cùng đ−ợc chuyển đổi thành 10 bit theo thuật toán t−ơng tự nh− 1. Chuyển ba số thập phân -> 10 bit Chuyển đổi BCD Số thập phân Số nhị phân Số thập phân Số nhị phân 1 2 3 4 5 . . . 998 999 0000 0000 01 0000 0000 10 0000 0000 11 0000 0001 00 0000 0001 01 . . . 1111 1001 10 1111 1001 11 1 2 3 4 5 6 7 8 9 0 0001 0010 0011 0100 0101 0110 0111 1000 1001 1010 Hình 5.5 Bảng biểu diễn chuyển đổi thập phân – nhị phân và chuyển đổi BCD Ví dụ: chuyển đổi 10 chữ số điện thoại 290-453-7186 thành mã nhị phân MSIN2 (hay MIN2) và MSIN1 sử dụng các b−ớc vừa nêu trên: 1. Tính toán MSIN2: 10 bit của MSIN2 nhận đ−ợc từ ba số đầu (hay là 290) của số điện thoại. • D1 = 2, D2 = 9 và D3 = 0. • 100 D1 + 10 D2 + D3 -111 = 100 (2) + 10 (9) + 0 -111 = 179 • 179 có mã nhị phân là ‘0010 1100 11’ 2. Tính toán MSIN1: ™ 10 bit có trọng số cao nhất của MSIN1 nhận đ−ợc từ bộ ba số thứ hai của số điện thoại • D1 = 4, D2 = 5, và D3 = 3. - 48 - Bảo mật trong hệ thống di động WCDMA • 100 D1 + 10 D2 + D3 -111 = 100 (4) + 10 (5) + 3 -111 = 342 • 342 trong mã nhị phân là : ‘ 0101 0101 10’ ™ Chuyển đổi BCD chữ số D7: bốn bit nhị phân tiếp theo của MSIN1 nhận đ−ợc từ việc chuyển đổi BCD chữ số hàng nghìn (hay 7) của số điện thoại. • D7 = 7 trong mã nhị phân là ‘0111’ ™ Tính toán ba chữ số cuối cùng (hay là D8D9D10) của MSIN1: 10 bit có trọng số nhỏ nhất của nhận đ−ợc từ 3 chữ số cuối cùng của số điện thoại • D1 = 1, D2 = 8, và D3 = 6 • 100 D1 + 10 D2 + D3 -111 = 100 (1) + 10 (8) + 6 -111 = 75 • 75 trong mã nhị phân là ‘ 0001 0010 11’ Nh− vậy MSIN1 sẽ là ‘0101 0101 1001 1100 0100 1011’ MNC đ−ợc tính nh− sau: 1. Biểu diễn nh− các số riêng biệt 2 chữ số mã mạng di động D1D2, với chữ số 0 sẽ nhận giá trị 10 2. Tính toán: 10 D1 + D2 – 11. 3. Chuyển đổi thành nhị phân kết quả thu đ−ợc từ b−ớc theo bảng chuyển đổi trên. Tính MCC: 1. Biểu diễn nh− các số riêng biệt các chữ số mã quốc gia D1 D2 D3, với chữ số 0 sẽ nhận giá trị 10 2. Tính toán 100 D1 + 10 D2 + D3 -111 3. Chuyển đổi nhị phân kết quả thu đ−ợc từ b−ớc 2 theo bảng chuyển đổi ở trên. f. COUNT : Thông số lịch sử cuộc gọi Thông số lịch sử gọi là một modul 64 bit đ−ợc l−u trữ trong trạm di động MS. COUNT đ−ợc trạm di động cập nhật khi MS nhận đ−ợc bản tin cập nhật thông số trên kênh l−u l−ợng đ−ờng xuống WCDMA. Mỗi lần MS khởi x−ớng hay kết cuối cuộc gọi, đếm lịch sử lại tăng nên cả ở MS lẫn ở HLR của AUC hệ thống chủ. Bộ đếm này dùng để phát hiện sự nhân bản vì các nhân bản không có lịch sử gọi giống nh− MS hợp lệ. - 49 - Nhận thực và bảo mật trong hệ thống WCDMA g. TMSI: Nhận dạng di động tạm thời TMSI là một số đ−ợc ấn định tạm thời tại chỗ để đánh địa chỉ cho MS. MS nhận đ−ợc TMSI khi nó đ−ợc ấn định bởi BS (hay nút B). TMSI là chỉ số tạm thời để BS biết là MS đang có mặt trong sự quản lý của nó. Khi MS bật nguồn nó phải đăng ký với hệ thống. Khi đăng ký, nó phát IMSI của mình và số liệu khác tới mạng. Khi này EIR ở hệ thống khách hỏi HLR của hệ thống chủ thông tin tóm tắt về dịch vụ và các số liệu bảo mật. Sau đó EIR ấn định nhận dạng thuê bao di động tạm thời TMSI cho MS. MS sử dụng TMSI để truy nhập đến hệ thống.TMSI đảm bảo tính bảo mật thông tin vì chỉ MS và mạng biết nhận dạng MS thông qua TMSI. Khi MS chuyển mạng mới, một số giao diện không gian khác sử dụng TMSI để hỏi EIR cũ và sau đó ấn định TMSI mới cho MS. 5.2. Thủ tục nhận thực Nhận thực trong WCDMA là thủ tục mà qua đó thông tin đ−ợc trao đổi giữa MS và BS để nhằm mục đích khẳng định sự hợp lệ số nhận dạng của MS. MS phải cùng làm việc với hệ thống để thực hiện việc nhận thực. Quá trình nhận thực đ−ợc thực hiện trên cơ sở dữ liệu l−u trên mạng và trên MS, bằng các thuật toán có đầu vào là các cơ sở dữ liệu này, nếu các kết quả tính toán hoàn toàn trùng nhau thì nhận thực thành công. Tồn tại hai quá trình nhận thực chính: hiệu lệnh chung và hiệu lệnh riêng. ™ Hiệu lệnh chung: Đ−ợc khởi đầu ở kênh tìm gọi và truy nhập. Dùng hiệu lệnh chung MS có thể thực hiện các chức năng sau đây ở kênh truy nhập: - Nhận thực khi đăng ký. - Nhận thực khi khởi x−ớng cuộc gọi. - Nhận thực khi trả lời tìm gọi. ™ Hiệu lệnh riêng: Đ−ợc khởi đầu ở kênh l−u l−ợng đ−ờng xuống và kênh l−u l−ợng đ−ờng lên hoặc ở kênh tìm gọi và kênh truy nhập. BS khởi đầu nhận thực này khi nhận thực chung (gồm ba loại nhận thực trên) bị thất bại, hoặc một thời điểm bất kỳ sau khi nó đã ấn định kênh cho MS. Các thông số đầu vào cho các thủ tục này đ−ợc cho nh− trong bảng d−ới đây: - 50 - Bảo mật trong hệ thống di động WCDMA Thủ tục nhận thực Rand-Challenge ESN Số liệu nhận thực SSD-AUTH Các thanh ghi SAVE Đăng ký RAND ESN MSIN1 SSD-A FALSE Hiệu lệnh riêng 256 x RANDU + LSB của MSIN2 ESN MSIN1 SSD-A FALSE Khởi x−ớng RAND ESN MSIN1 SSD-A TRUE Kết cuối RAND ESN MSIN1 SSD-A TRUE Hiệu lệnh trạm gốc RANDBS ESN MSIN1 SSD-A-NEW FALSE ấn định TMSI RAND ESN MSIN1 SSD-A FALSE Hình 5.6 Bảng các thông số đầu vào cho các thủ tục nhận thực Trong đó: - RANDU: Biến ngẫu nhiên 24 bit - RANDBS: Số liệu hiệu lệnh ngẫu nhiên 32 bit - RAND: Giá trị hiệu lệnh nhận thực ngẫu nhiên (0 hoặc 32 bit) a. Hiệu lệnh chung Hiệu lệnh chung đ−ợc thực hiện khi MS đăng ký, khởi x−ớng, và kết cuối cuộc gọi. Các thủ tục thực hiện nhận thực này nh− sau: 9 MS thực hiện: - Đặt các thông số đầu vào thủ tục nhận thực theo sơ đồ hình 5.7 - Đặt thông số đầu vào thanh ghi Save là FALSE - Thực hiện các thủ tục nhận thực - Đặt tr−ờng AUTHR (tr−ờng nhận thực) bằng 18 bit ra của thủ tục nhận thực - Phát số liệu nhận thực (AUTHR) cùng với giá trị hiệu lệnh ngẫu nhiên RANDC (8 bit trọng số cao của RAND) và thông số lịch sử cuộc gọi (COUNT) đến BS thông qua bản tin trả lời nhận thực. 9 BS thực hiện: - So sánh giá trị RANDC thu đ−ợc với 8 bit có trọng số cao nhất của RAND đ−ợc l−u bởi hệ thống. - 51 - Nhận thực và bảo mật trong hệ thống WCDMA - So sánh giá trị COUNT thu đ−ợc với giá trị COUNT đ−ợc l−u trữ t−ơng ứng với MSIN/ESN thu (nhằm xác định đúng số thuê bao và phù hợp hai chỉ số này). - Tính toán AUTHR giống nh− MS nh−ng sử dụng SSD-A đ−ợc l−u của bản thân BS - So sánh giá trị AUTHR tính đ−ợc với AUTHR thu đ−ợc Nếu một trong số các so sánh ở BS thất bại, BS có thể cho rằng nhận thực thất bại và khởi đầu thủ tục trả lời hiệu lệnh riêng hay bắt đầu quá trình cập nhật SSD. Hình 5.7 Tính toán AUTHR trong hiệu lệnh chung L−u đồ cho hiệu lệnh chung đ−ợc mô tả ở hình sau: Hình 5.8: L−u đồ gọi cho hiệu lệnh chung. ESN (32 bit) MIN1 (24 bit) Thuật toán nhận thực AUTHR (18 bit) SSD – A (64 bit) RAND (32 bit) - 52 - Bảo mật trong hệ thống di động WCDMA L−u ý: Đối với nhận thực khởi x−ớng thông số đầu vào MIN1 đ−ợc thay thế bởi 24 bit tạo ra từ 6 chữ số đ−ợc quay cuối cùng, nếu có ít hơn 6 chữ số trong bản tin khởi x−ớng, các bit có trọng số cao nhất của IMSI đ−ợc sử dụng để thay thế các bit thiếu. Đối với nhận thực khởi x−ớng và nhận thực kết cuối MS đặt thông số đầu vào thanh ghi Save là TRUE thay vì FALSE nh− trong nhận thực đăng ký. b. Hiệu lệnh riêng BS thực hiện khởi đầu thủ tục trả lời hiệu lệnh riêng ở các kênh tìm gọi và truy nhập hoặc ở các kênh l−u l−ợng đ−ờng xuống và đ−ờng lên. 9 BS thực hiện: - Tạo ra số liệu ngẫu nhiên 24 bit (RANDU) và gửi nó đến MS thông qua bản tin hiệu lệnh riêng (hay bản tin nhận thực) ở kênh tìm gọi. - Khởi đầu thuật toán nhận thực nh− hình 5.9 - Đặt AUTHU bằng 18 bit đầu ra của thuật toán nhận thực. ESN (32 bit) 8 bit thấp nhất của MIN2 SSD-A (64 bit) MIN1 (24 bit) RANDU (24 bit) AUTHU (18 bit) Thuật toán nhận thực Hình 5.9. Tính toán AUTHU cho thủ tục trả lời hiệu lệnh riêng. L−u đồ cho hiệu lệnh riêng đ−ợc mô tả nh− sau: - 53 - Nhận thực và bảo mật trong hệ thống WCDMA Hình 5.10 : L−u đồ gọi cho hiệu lệnh riêng. Khi MS nhận đ−ợc bản tin yêu cầu hiệu lệnh riêng, MS thực hiện: 9 MS thực hiện: - Đặt các thông số đầu vào nh− hình 5.9 - Đặt thông số đầu vào thanh ghi Save là FALSE - Tính toán AUTHU nh− trên nh−ng sử dụng RANDU thu đ−ợc và các thông số khác l−u trữ ở MS - Gửi AUTHU đến trạm BS bằng bản tin trả lời hiệu lệnh riêng (trên một trong hai kênh nêu ở trên) Dựa vào giá trị AUTHU nhận đ−ợc từ MS, BS so sánh giá trị AUTHU của nó tính toán với giá trị nhận đ−ợc từ MS. Nếu so sánh thất bại, BS có thể từ chối ý định truy nhập tiếp theo của MS, huỷ bỏ cuộc gọi đang tiến hành và khởi đầu quá trình cập nhật SSD. c. Cập nhật SSD Để có SSD mới, HLR/AUC sẽ khởi đầu thủ tục cập nhật cập nhật SSD. Quá trình thực hiện diễn ra nh− hình 5.11. - 54 - Bảo mật trong hệ thống di động WCDMA 9 BS thực hiện: - Phát lệnh cập nhật trên kênh tìm gọi hoặc kênh l−u l−ợng đ−ờng xuống cùng với 56 bit của RANDSSD do HLR/AUC tạo ra đến MS thông qua bản tin cập nhật SSD. Khi nhận đ−ợc bản tin cập nhật SSD, MS sẽ: 9 MS thực hiện: - Đặt các thông số đầu vào thủ tục tạo SSD (nh− hình 5.11). - Thực hiện thủ tục tạo SSD. - Tính toán 128 bit SSD-mới với 64 bit trọng số lớn là SSD-A mới và 64 bit trọng số nhỏ là SSD-B mới. - Đặt các thông số đầu vào thuật toán nhận thực nh− hình 5.11 - Thực hiện thuật toán nhận thực. - Chọn 32 bit ngẫu nhiên (RANDBS) và gửi nó đến BS ở lệnh hiệu lệnh BS trên kênh truy nhập hoặc kênh l−u l−ợng h−ớng lên - Đặt AUTHBS bằng 18 bit nhận đ−ợc từ thuật toán nhận thực. - Đặt thông số đầu vào thanh ghi Save là FALSE. Khi nhận đ−ợc bản tin lệnh hiệu lệnh BS, BS sẽ: 9 BS thực hiện: - Đặt các thông số đầu vào thuật toán nhận thực với RANDBS thu đ−ợc từ bản tin hiệu lệnh BS (nh− hình 5.11). - Thực hiện thuật toán nhận thực. - Đặt AUTHBS bằng 18 bit nhận đ−ợc từ thuật toán nhận thực. - Công nhận thu đ−ợc bản tin hiệu lệnh BS bằng cách phát đi khẳng định hiệu lệnh BS chứa AUTHBS trên kênh tìm gọi hoặc kênh l−u l−ợng h−ớng thuận. - 55 - Nhận thực và bảo mật trong hệ thống WCDMA Hình 5.11. Thủ tục cập nhật SSD Khi nhận đ−ợc khẳng định hiệu lệnh BS, MS sẽ: 9 MS thực hiện: - So sánh AUTHBS thu đ−ợc với AUTHBS do nó tính. - Công nhận thu khẳng định hiệu lệnh BS theo cách sau: Nếu so sánh thành công: - 56 - Bảo mật trong hệ thống di động WCDMA + Thực hiện cập nhật SSD-mới. + Phát khẳng định cập nhật SSD đến BS để chỉ thị rằng thực hiện thành công việc cập nhật SSD. Nếu so sánh thất bại: + Huỷ SSD-mới. + Phát bản tin từ chối cập nhật SSD đến BS biểu thị rằng thực hiện cập nhật SSD không thành công. 9 Khi BS nhận đ−ợc các bản tin từ MS, nếu bản tin nhận đ−ợc từ MS chỉ ra rằng thực hiện thành công việc cập nhật tại MS thì HLR/AUC sẽ thực hiện cập nhật SSD, đặt SSD-A thành SSD-A-mới, và SSD-B thành SSD-B-mới. Trong tr−ờng hợp ng−ợc lại tức là nhận đ−ợc bản tin từ chối cập nhật của MS, hoặc sau một thời nhất định BS không nhận đ−ợc tín hiệu trả lời của MS, HLR/AUC sẽ loại bỏ giá trị SSD-mới. Trong sơ đồ trên các thuật toán tạo SSD và tính toán giá trị AUTHBS có các thông số đầu vào nh− sau: Hình 5.12. Sơ đồ thực hiện tạo SSD và tính toán AUTHBS trong sơ đồ cập nhật RANDSSD 56 bít ESN 32 bít Thủ tục tạo SSD SSD_B_NEW 64 bít SSD_A_NEW 64 bít A-key 64 bít ESN 32 bít Thuật toán nhận thực AUTHBS 18 bít SSD_A_NEW MIN 1 24 bít RANDBS 32 bít L−u đồ thực hiện việc cập nhật SSD diễn ra nh− sau: - 57 - Nhận thực và bảo mật trong hệ thống WCDMA Hình 5.13 L−u đồ cập nhật SSD Với 3 thủ tục nói trên ta có thể thực hiện nhận thực với các quá trình đăng ký, khởi x−ớng cuộc gọi, cũng nh− kết cuối cuộc gọi một cách an toàn Thông th−ờng các thuật toán tính toán và so sánh ở phía BS đ−ợc thực hiện ở AUC. Nhận xét và giải pháp: Nh− vậy tất cả các quá trình đăng ký, khởi x−ớng một cuộc gọi, hay khi trả lời tìm gọi (trả lời khi có ng−ời khác gọi đến MS) đều thông qua các hiệu lệnh trên. Một cuộc gọi sẽ đ−ợc kiểm soát theo các b−ớc nh− sau: - Nếu hiệu lệnh chung bị thất bại thì có thể khởi động quá trình cập nhật SSD, hoặc khởi động hiệu lệnh riêng - Nếu nhận thực riêng thất bại ta có thể huỷ bỏ ngay liên lạc của MS, hoặc khởi động quá trình cập nhật SSD - Nếu cập nhật SSD bị sai ta có thể thử lại quá trình cập nhật này một số lần hữu hạn nhất định nếu tiếp tục sai thì ta buộc phải huỷ cuộc gọi. - 58 - Bảo mật trong hệ thống di động WCDMA Trong quá trình nhận thực thì cả MS và hệ thống mà cụ thể là MSC/VLR đều thực hiện tính toán từ CSDL cố định và bán cố định. Đồng thời cũng có thấy rằng hiệu lệnh riêng có thể xảy ra bất cứ lúc nào khi đã cấp kênh thoại cho MS cho nên một cuộc đàm thoại đã đ−ợc kết nối có thể sẽ bị kiểm tra liên tục để tăng tính an toàn cho cuộc thoại đó. Ta có thể đ−a ra một số kết luận: ™ Hiệu lệnh chung: Đ−ợc dùng với các CSDL cố định và hai CSDL bán cố định RAND và SSD-A nên đảm bảo đ−ợc tính chống nhân bản vì các CSDL bán cố định th−ờng xuyên đ−ợc cập nhật. Nh−ng ở đây cũng đặt ra hai vấn đề để đảm bảo tính an toàn đó là: + Phải đảm bảo giữ bí mật tuyệt đối đối với các cơ sở dữ liệu cố định dùng trong thuật toán gồm: ESN và MIN1, nh− các kỹ thuật đã nêu ở trên ta phải tăng c−ờng khả năng bảo vệ, tránh đ−ợc những kỹ thuật xâm nhập ngày càng cao, các cơ sở dữ liệu cố định phải có tính không thể đọc, dò bằng hiệu ứng điện, từ, hay bất cứ một ph−ơng pháp nào (có nghĩa là khi tiếp cận một module nhận dạng nh− UIM chẳng hạn, thì không thể dùng máy dò để có thể áp vào đó để đọc các giá trị ghi trong đó, vì hiện nay ngay cả máy tính các xung điện cũng có thể bị dò đ−ợc và thông qua máy dò có thể tái hiện chính xác máy tính đó đang làm gì từ xa). Các CSDL phải đ−ợc thiết kế sao cho nếu cố gắng phân tích (hay tháo ra) lập tức làm cho MS đó ngừng hoạt động. Giải pháp: Một trong các cách phòng chống là bầng cách dùng hộp khử điện từ để chống lại các xâm nhập bằng cảm ứng từ. Các chuẩn thì phải tuân theo nh−ng công nghệ chế tạo mạch đ−ợc giữ bí mật, ví dụ cách nh− bố trí ô nhớ, cấu trúc nhớ… + Vấn đề thứ hai là phải bảo vệ các dữ liệu truyền trong sóng vô tuyến nh−: RAND và SSD-A. Giải pháp: Chúng ta phải mật mã hoá các dữ liệu này trên đ−ờng truyền, bằng các ph−ơng thức mã hoá đã nêu ở trên nh− mã khối, mã đ−ờng, thay thế, mã RSA, mã DES… Vì đây là phần thuật toán hay phần mềm nên ta có thể không ngừng cải tiến và tìm các thuật toán mới để đảm bảo an toàn tuyệt đối cho các cơ sở dữ liệu này. - 59 - Nhận thực và bảo mật trong hệ thống WCDMA Ta có thể thấy rằng các cơ sở dữ liệu cố định là cái đầu tiên mà kẻ xâm nhập phải nghĩ đến khi thực hiện xâm nhập một máy cụ thể, nếu không biết đ−ợc các mã số này thì họ chẳng làm đ−ợc việc gì, vì đó đơn giản là một máy nào đó chứ không phải là máy họ cần xâm nhập. Giả sử ng−ời xâm nhập bằng một cách nào đó có thể dò đ−ợc ESN t−ơng ứng với MIN của MS đó, thì vấn đề còn lại sẽ là dò tìm các cơ sở dữ liệu bán cố định, nếu giải thuật mật mã hoá đ−a ra tốt thì việc dò tìm mã khoá cho những giải thuật này không còn cách nào khác là phải dò tìm theo kiểu vét cạn, quá trình này đòi hỏi rất nhiều thời gian. Vấn đề là ta phải xây dựng một thuật toán có không gian khoá đủ lớn để với kỹ thuật hiện nay và các kỹ thuật trong t−ơng lai (mà dựa vào công nghệ hiện nay có thể đoán đ−ợc) có thể đạt đ−ợc tốc độ xử lý nhanh bao nhiêu chăng nữa thì thời gian tiến hành thủ tục dò khoá mã theo ph−ơng thức vét cạn cũng phải chiếm thời gian lớn. Cần l−u ý rằng các dữ liệu này là hoàn toàn ngẫu nhiên, nói cách khác dữ liệu sau hoàn toàn không t−ơng quan đến dữ liệu tr−ớc đó, nên việc dò tìm dữ liệu tr−ớc không hề liên hệ đến dò tìm dữ liệu sau, tức là với CSDL mới ng−ời xâm nhập phải dò lại từ đầu. Các thuật toán để hoàn thiện hơn các thuật toán mật mã hoá sẽ là một h−ớng nghiên cứu đầy hứa hẹn không chỉ hôm nay mà còn cả trong t−ơng lai. ™ Hiệu lệnh riêng: Có thể xảy ra bất cứ lúc nào khi cuộc gọi đã đ−ợc kết nối, hay nói cách khác là máy MS luôn bị chất vấn bất cứ lúc nào, quá trình này ngoài các thông số cố định nh− MIN2, ESN, và MIN1, MS còn sử dụng dữ liệu ngẫu nhiên RANDU thu đ−ợc từ BS và dữ liệu SSD-A của bản thân nó. Thông th−ờng nó đ−ợc khởi x−ớng bởi MSC để đáp ứng lại một số sự kiện (sự cố đăng ký, và sau chuyển giao thành công là các tr−ờng hợp th−ờng gặp). Hiệu lệnh này đ−ợc sử dụng để kiểm tra MS về nhận dạng của nó. Ngoài các yêu cầu về tăng c−ờng tính an toàn cho các cơ sở dữ liệu nh− trình bày trên. Chúng ta còn tuỳ theo mức độ bảo mật mà khách hàng yêu cầu và các hệ thống phục vụ cho các đối t−ợng khác nhau (ví dụ nh− chính phủ) ta có thể tăng c−ờng độ an toàn cho một thuê bao khi chúng ta cho tăng c−ờng mật độ hiệu lệnh riêng với thuê bao đó. Trong quá trình thực hiện hiệu lệnh riêng cũng tuỳ vào đối t−ợng ta có thể tiến hành hỏi lại một số lần, mức độ bảo mật càng cao thì số lần này càng ít, và nếu thấy khả nghi bị xâm nhập lập tức huỷ cuộc thoại đó, hay nói cách khác chúng ta có thể tiến hành “dịch vụ cung cấp độ bảo mật theo yêu cầu”. ™ Cập nhật SSD: Ta thấy rằng chúng cũng có các yêu cầu về bảo đảm tính an toàn về các CSDL cố định và các CSDL bán cố định chuyển qua kênh vô tuyến. Tr−ớc hết phải giải đ−ợc mã - 60 - Bảo mật trong hệ thống di động WCDMA để có RANDSSD, sau đó phải dùng các CSDL cần thiết A-key, ESN, và RANDSSD thu đ−ợc để tiến hành thủ tục tạo SSD. Nhận thấy rằng BS chỉ phát các số liệu ngẫu nhiên (RANDSSD) và số liệu kiểm tra AUTHBS đến MS đây cũng là một cách hạn chế tối đa về khả năng có đ−ợc SSD mới của kẻ xâm nhập vì tr−ớc hết chúng phải giải mã đ−ợc số liệu ngẫu nhiên RANDSSD, sau đó phải có các CSDL cố định thì mới có đ−ợc SSD-NEW. ắ Vấn đề MS chuyển mạng Chuyển mạng là khả năng cung cấp dịch vụ cho các MS ở ngoài vùng đăng ký th−ờng trú của chúng. Khi MS chuyển mạng, đăng ký khởi x−ớng cuộc gọi và kết cuối cuộc gọi cần thêm các b−ớc bổ sung. Mỗi khi lấy số liệu từ EIR mà số liệu này ch−a có, EIR phải hỏi HLR chủ để cung cấp số liệu. Số liệu này bao gồm MIN, tóm tắt dịch vụ, các số liệu bí mật dùng chung (SSD) để nhận thực và các số liệu cần thiết khác để xử lý cuộc gọi. Thời gian thích hợp nhất để lấy các số liệu này lúc MS đăng ký với hệ thống, nơi mà nó đang có mặt. Khi đã l−u giữ số liệu của MS chuyển mạng vào EIR, thì quá trình xử lý cuộc gọi và nhận thực sẽ giống với các dịch vụ của MS tại nơi th−ờng trú. Tuy nhiên có thể xảy ra tr−ờng hợp mà MS khởi x−ớng cuộc gọi tr−ớc khi thực hiện đăng ký hay khi số liệu EIR ch−a có. Khi này cần phải có thêm các b−ớc bổ xung để EIR nhận số liệu từ HLR. Vậy mọi dịch vụ khởi x−ớng có hai b−ớc tuỳ chọn trong đó EIR phát bản tin (sử dụng báo hiệu IS-41 của SS7) đến HLR để yêu cầu số liệu về MS chuyển mạng. HLR sẽ gửi bản tin với các thông tin t−ơng ứng. Khi MS bật nguồn nó phải đăng ký với hệ thống. Khi đăng ký, nó phát IMSI của mình và số liệu khác cho mạng. Khi này EIR ở hệ thống khách hỏi HLR của hệ thống chủ (hệ thống mà MS đăng ký dịch vụ) thông tin tóm tắt về dịch vụ (xem cho phép những dịch vụ gì đối với MS đó) và số liệu bảo mật. Sau đó EIR ấn định nhận dạng thuê bao di động tạm thời (TMSI_ chứa các thông tin cần thiết cho quá trình nhận thực) cho MS. MS sử dụng TMSI để truy nhập đến hệ thống. TMSI đảm bảo tính bảo mật thông tin vì chỉ MS và mạng biết nhận dạng MS thông qua TMSI. Khi MS chuyển vào một hệ mới, EIR của hệ mới sẽ thực hiện cấp một TMSI mới cho MS với các thông số từ EIR cũ. Trong đó các EIR phải thực hiện thủ tục nhận thực ấn định TMSI, trong thủ tục này các thông số đầu vào nh− trên bảng hình 5.6 và sơ đồ quá trình nhận thực ấn định TMSI đ−ợc tiến hành nh− sơ đồ quá trình hiệu lệnh chung, nếu thành công MS đ−ợc ấn định TMSI mới, nếu thất bại mạng sẽ khởi đầu hiệu lệnh duy nhất. - 61 - Nhận thực và bảo mật trong hệ thống WCDMA Mạng phát số ngẫu nhiên RAND cho tất cả MS. Khi MS truy nhập mạng, nó tính toán AUTHR với phiên bản mới nhất đ−ợc mật mã hoá của RAND và sử dụng SSD-A. Sau đó phát bản tin cần thiết để nhận thực đến mạng. Mạng thực hiện tính toán t−ơng tự và khẳng định nhận dạng MS. Tất cả các thông tin giữa BS và MS đ−ợc mật mã để ngăn chặn kẻ khác giải mã số liệu và sử dụng số liệu này để nhân bản các MS khác. Ngoài ra mỗi khi MS khởi x−ớng hay kết thúc cuộc gọi, thông số đếm lịch sử cuộc gọi (COUNT) tăng thêm. ắ Cập nhật thông số lịch sử cuộc gọi. Để ngăn chặn sự nhân bản, hệ thống WCDMA phải cập nhật thông số lịch sử cuộc gọi. Thủ tục này đ−ợc thực hiện khi MSC cần h−ớng dẫn MS cập nhật lịch sử cuộc gọi (COUNT). Quá trình này đ−ợc thực hiện ở thời điểm thuận tiện sớm nhất sau khi một kênh l−u l−ợng đ−ợc ấn định cho khởi đầu cuộc gọi hoặc kết cuối cuộc gọi. MSC phát bản tin yêu cầu cập nhật thông số (Parameter Update Request) đến BS. Khi thu đ−ợc bản tin này, BS h−ớng dẫn MS cập nhật COUNT của nó bằng cách phát lệnh cập nhật thông số (Parameter Update Order). Khi thu đ−ợc lệnh này, MS tăng đếm lịch sử cuộc gọi và lập tức gửi bản tin khẳng định cập nhật thông số (Parameter Update Confirm) đến MSC. Khi thu đ−ợc bản tin này, MSC tăng đếm (COUNT) của nó. Nh− vậy là sau mỗi cuộc gọi COUNT của MS và COUNT t−ơng ứng ở MSC chủ lại tăng nên 1, điều này giúp kiểm soát tốt hơn MS khi tiến hành so sánh 2 giá trị COUNT đ−ợc l−u trữ ở hai nơi. 5.3. Bảo mật thoại Có thể thấy rằng bản thân các mã định kênh và mã xáo trộn (long code và short code) trong WCDMA làm cho dữ liệu bị ngẫu nhiên hoá (hoặc giả ngẫu nhiên) nên các kênh truyền đã mang tính bảo mật. Tuy nhiên để tăng tính bảo mật cho các dữ liệu truyền trên kênh truyền nhằm chống lại các xâm nhập thụ động cũng nh− xâm nhập tích cực, hệ thống WCDMA còn có thể áp dụng các ph−ơng pháp mật mã hoá chẳng hạn nh− các ph−ơng pháp mã đ−ờng, thay thế bit, hay các thuật toán RSA, DES …và kết hợp với kiểm tra tính toàn vẹn của bản tin khi dùng thuật toán hàm Hash. Không thể yêu cầu bảo mật thoại nếu nh− quá trình xác thực ch−a đ−ợc thực hiện. - 62 - Bảo mật trong hệ thống di động WCDMA 5.4. Các thuật toán tính toán số liệu nhận thực Trong các thuật toán nhận thực dùng trong WCDMA ta quan tâm đến các thuật toán làm việc với dữ liệu dạng khối, mã hoá khối dữ liệu đối xứng (ví dụ nh− DES) và các hàm một chiều … Bây giờ chúng ta xem xét một số thuật toán tạo ra dữ liệu nhận thực. A. Kỹ thuật tạo khoá (I) và tính toán AUTHR Kỹ thuật này đ−ợc ứng dụng trong thuật toán hiệu lệnh chung Giả sử M1, M2, M3 là các dãy bit nhận đ−ợc từ việc chia giá trị 172 bit thành các dãy 48 bit, 64 bit, và 64 bit t−ơng ứng. Giá trị 172 bit là sự kết hợp 152 bit đầu vào (bao gồm RAND 32 bit, ESN 32 bit, MIN1 24 bit, và SSD-A 64 bit) với 24 bit 0 đ−ợc thêm vào. ™ Tạo khoá: M1 = 48 bit sẽ đ−ợc sử dụng làm đầu vào của giai đoạn tạo khoá nh− sơ đồ thực hiện hình 5.15. Chúng ta sắp xếp 48 bit thành mảng 6 x 8 nh− hình 5.14 Quá trình này là b−ớc thực hiện hoán vị 48 bit đầu vào Ví dụ 1: ắ Giả sử dãy dữ liệu M1 là 16c27a415f39 ( mã hexa) = 0001 0110 1100 0010 0111 1010 0100 0001 1111 0011 1001 (mã nhị phân) Thực hiện hoán vị theo bảng 5.14 đối với M1 ta đ−ợc: K = 0000 0001 1001 0101 1001 1101 0111 1000 0101 0111 1110 0100 (mã nhị phân) = 01959d7857e4 (mã hexa) 11 35 5 47 17 41 29 23 7 31 1 43 13 37 25 19 9 33 3 45 15 39 27 21 12 36 6 48 18 42 30 24 8 32 2 44 14 38 26 20 10 34 4 46 16 40 28 22 Hình 5.14: bảng sắp xếp các bit đầu vào của thuật toán tạo khoá - 63 - Nhận thực và bảo mật trong hệ thống WCDMA ở đây 48 bit khoá K đ−ợc tính bởi kỹ thuật tạo khoá (I) đ−ợc biểu diễn trong hình 5.15 Hình 5.15: Tính toán AUTHR (18 bit) cho hiệu lệnh chung ™ Sử lý các khối: ắ Giả sử khối dữ liệu M2 (64 bit) là 1 7 b 4 3 9 a 1 2 f 5 1 c 5 a 8. • Thuật toán IP Đầu tiên khối dữ liệu M2 tr−ớc hết đ−ợc đ−a vào khối hoán vị ban đầu (IP) để chia thành hai khối L1 (trái) và R1 (phải), mỗi khối chứa 32 bit nh− đ−ợc chỉ ra trong bảng trong hình 5.16 Thực hiện hoán vị bằng bảng IP, qua xáo trộn chuỗi ban đầu trở thành hai chuỗi con nh− sau: L1 (32 bit) = 6 0 2 7 5 3 7 d và R1 (32 bit) = c a 9 e 9 4 1 1 - 64 - Bảo mật trong hệ thống di động WCDMA 58 50 42 34 26 18 10 2 60 52 44 36 28 20 12 4 62 54 46 38 30 22 14 6 64 56 48 40 32 24 16 8 57 49 41 33 25 17 9 1 59 51 43 35 27 19 11 3 61 53 45 37 29 21 13 5 63 55 47 39 31 23 15 7 Hình 5.16. bảng hoán vị ban đầu (IP) • Tác động của hàm E Đến đây L1 và R1 đ−ợc mở rộng thành 48 bit t−ơng ứng với bảng sau: 32 1 2 3 4 5 4 5 6 7 8 9 8 9 10 11 12 13 12 13 14 15 16 17 16 17 18 19 20 21 20 21 22 23 24 25 24 25 26 27 28 29 28 29 30 31 32 1 Hình 5.17. bảng thực hiện mở rộng Tr−ớc hết xét L1: E(L1) là một hàm nhận 32 bit đầu vào và tạo ra 48 bit đầu ra, theo bản trên ta tính đ−ợc: E(L1) = b 0 0 1 0 e a a 6 b f a • Thực hiện cộng khoá K Khi E(L1) đã đ−ợc tính toán xong nó sẽ cộng tuyệt đối bit – bit với khoá K nh− sau: Г1 (48 bit) = E(L1) ⊕ K = (b19493d23c1e) • Hoạt động của S-box 48 bit Г1 trở thành đầu vào của bộ thay thế không tuyến tính để tạo ra 32 bit ở đầu ra. Véc tơ 48 bit Г1 trở thành thông số đầu vào cho (S – box)1 từ S1 đến S8. Với mỗi Si trong đó 1 ≤ i ≤ 8 là các ma trận 4 hàng và 16 cột đ−ợc biểu diễn trong bảng chuyển - 65 - Nhận thực và bảo mật trong hệ thống WCDMA đổi S_box ở hình 4.5. Đầu vào Si là sự kết hợp 6 bit, trong đó bit đầu và bit thứ sáu là để hợp thành số chỉ hàng, còn 4 bit giữa để chỉ số cột trong bảng. Ví dụ đối với đầu vào là 010011 đến S1, đ−ợc chỉ ra là Si01 (1001) , hàng 01 hay là hàng 1 và chỉ số cột là 1001 có nghĩa là cột 9. Cấu tạo của bảng S_box đã đ−ợc nêu trong ch−ơng 4 hình 4.5 phần thuật toán DES Г1 (48 bit) = b 1 9 4 9 3 d 2 3 c 1 e trong hệ nhị phân là: 1011 0001 1001 0100 1001 0011 1101 0010 0011 1100 0001 1110 Nhóm thành các nhóm 6 bit là: 101100 011001 010010 010011 110100 100011 110000 011110 Dễ dàng tính đ−ợc đầu ra dựa vào bảng S-box S1 10(0110) = S1 2 (6) = 2 = 0010 S2 01(1100) = S2 1(12) = 6 = 0110 S3 00(1001) = S3 0(9) = d = 1101 S4 01(1001) = S4 1(9) = 7 = 0111 S5 10(1010) = S5 2(10) = c = 1100 S6 11(0001) = S6 3(1) = 3 = 0011 S7 10(1000) = S7 2(8) = a = 1010 S8 00(1111) = S8 0(15) = 7 = 0111 Móc nối tất cả các số 4 bit này ta sẽ đ−ợc một tr−ờng 32 bit Ω1: Ω1 = 0010 0110 1101 0111 1100 0011 1010 0111 = 26d7c3a7 • Tác động của hàm P Ω1(32 bit) trở thành đầu vào của thuật toán P, thuật toán P hoán vị vị trí các bit trong Ω1 theo bảng 5.18 Kết quả là đầu ra của phép hoán vị theo ma trận P: P(Ω1) = 1100 01 1 0110 0111 0011 1111 0011 0001 = c5673f31 Tiếp theo ta xét đến khối R1(32 bit) . • Sử dụng bảng mở rộng bit 5.17 ta có: E(R1) = e554fd4a80a3 - 66 - Bảo mật trong hệ thống di động WCDMA 16 7 20 21 29 12 28 17 1 15 23 26 5 18 31 10 2 8 24 14 32 27 3 9 19 13 30 6 22 11 4 25 Hình 5.18. Ma trận P • Cộng tuyệt đôi với khoá K tạo thành 48 bit Г2 = E(R1) ⊕ K = e4c16032d747 • Chia thành 8 bộ 6 bit cho vào tr−ờng (S-box)2 , xét t−ơng tự nh− trên đầu ra của (S-box)2 sẽ là: Ω2= a30abf88 • Tính P(Ω2) Sử dụng bảng hàm hoán vị P 5.18 ta đ−ợc P(Ω2) = 79e06c9 Nh− vậy hai khối dữ liệu hoán vị P(Ω1) và P(Ω2) t−ơng ứng với khối dữ liệu M2 đã đ−ợc tính toán. ắ Giả sử rằng khối dữ liệu M3 (64 bit) là 51cb36af3000000 . Thực hiện tất cả các b−ớc t−ơng tự nh− trên: • Sử dụng bảng hoán vị ban đầu chuỗi bit M3 sẽ bị hoán vị thành 13050c1ba0c0a1e, trong đó L2 = 13050c1b và R2 = 0a0c0a1e. • Cả L2 (nửa bên trái) và R2 (nửa bên phải) của M3 đều đ−ợc mở rộng từ 32 bit thành 48 bit dựa và bảng mở rộng bit phía trên, theo đó: E(L2) = 8a680a8580f6 • Sau đó E(L2) hoặc E(R2) cộng trực tiếp với khoá K đã đ−ợc tạo ra ở trên: Г3 = E(L2) ⊕ K = (8bfd97fdd712) • 48 bit này là đầu vào của (S-box)3. Hoạt động của (S-box)3 t−ơng tự nh− trên - 67 - Nhận thực và bảo mật trong hệ thống WCDMA đầu ra của (S-box)3 nh− sau: Ω3 = 19cc3369 • Sau đó Ω3 hoán vị tạo ra 32 bit từ 32 bit đầu vào theo bảng hàm hoán vị P ta thu đ−ợc kết quả: P(Ω3) = 28397dc2 Cuối cùng đối với R2 = 0a0c0a1e là kết quả nhận đ−ợc từ sự hoán vị ban đầu của M3. • Mở rộng : dựa vào bảng mở rộng bit phía trên ta có: E(R2) = 0540580540fc • Cộng tuyệt đối Г4 = E(R2) ⊕ K = 04d5c57d718 • Cho kết quả thu đ−ợc vào bảng S ta thu đ−ợc: Ω4 = 08eb665 • Hoán vị Ω4 bằng ma trận P ta đ−ợc: P(Ω4) = 807d0dec Nh− vậy chúng ta đã tính đ−ợc 4 dãy số riêng lẻ P(Ω1), P(Ω2), P(Ω3) và P(Ω4). Chúng ta tiến hành ghép 4 dãy số riêng lẻ này thành một dãy số duy nhất nh− sau: P(Ω) = P(Ω1) | | P(Ω2) | | P(Ω3) | | P(Ω4). P(Ω) = (c5673f31) | | (79e06c9) | | (28397dc2) | | (807d0dec) Cuối cùng 18 bit dữ liệu nhận thực đ−ợc tính toán từ 128 bit trên bằng cách lấy bit thứ 7 của mỗi nhóm 7 bit AUTHR = 011111000011000101. Ch−ơng trình mô phỏng đ−ợc biểu diễn trong đĩa CD kèm theo tài liệu. B. Tính toán giá trị nhận thực sử dụng móc nối, hoán vị, và thay thế (S –box) Nh− mô tả d−ới đây, thủ tục tính toán đ−ợc thực hiện thứ tự nh− sau: 1. Mở rộng 152 bit thành 176 bit bằng cách cộng thêm 24 bit 0. 2. Chia 176 bit trên thành 3 khối: M1 = 48 bit, M2 = 64 bit, và M3 = 64 bit. Sử dụng M1 nh− một khoá 48 bit - 68 - Bảo mật trong hệ thống di động WCDMA 3. Chia 48 bit của M1 thành hai nửa : Kl = 24 bit và Kr = 24 bit 4. Thực hiện hoán vị ban đầu (IP) các khối M2 và M3 để trở thành L0 và R0 t−ơng ứng, nh− vậy L0 = 64 bit và R0 = 64 bit 5. Thực hiện móc nối Kl với L0 thành một khối 88 bit: L0 || Kl = 88 bit 6. Thực hiện móc nối kết quả thu đ−ợc từ phép móc nối trên với R0 theo trật tự: L0 || Kl || R0 ặ 152 bit 7. Thực hiện móc nối kết quả thu đ−ợc từ b−ớc 6 với Kr giống nh− sau: L0 || Kl || R0 || Kr ặ 176 bit 8. Chia 176 bit thu đ−ợc từ trên thành 4 phần: N1 = 32 bit, N2 = 48 bit, N3 = 48 bit, N4 = 48 bit 9. Mở rộng 2 bit N1 thành E(N1) = 48 bit bằng cách sử dụng bảng mở rộng bit đã nêu ở trên. 10. Thực hiện biến đổi 4 khối trên qua S – box, kết quả tạo thành 4 khối 32 bit 11. Cho kết quả qua ma trận P thực hiện việc hoán vị các bit tạo ra 4 khối 32 bit 12. Kết quả của chúng đ−ợc cộng modulo -2 với nhau để trở thành một đầu ra 32 bit. 13. Thực hiện cho 32 bit làm đầu vào của thuật toán hoán vị dùng ma trận P để có đầu ra là một khối 32 bit 14. Thực hiện mở rộng bằng ma trận mở rộng E tạo ra khối 48 bit 15. Cuối cùng 48 bit, bỏ 6 bit có trọng số cao nhất và 6 bit có trọng số nhỏ nhất và chọn (cứ hai bit thì lấy một bit) để trở thành AUTHR 18 bit. Ch−ơng trình thực hiện mô phỏng đ−ợc trình bày trong phần phụ lục Với ví dụ: Các khối đầu vào M1 = 16c27a415f39, M2 = 17b439a12f51c5a8, M3 = 51cb36af43000000 Sau các b−ớc thực hiện đã cho ta kết quả cuối cùng: AUTHR = 110011101100000001 Ch−ơng trình này cho kết quả tính toán (với máy Pentium IV, tốc độ 1.3 Ghz) execution_timeTB = 0.2137 (s) - 69 - Nhận thực và bảo mật trong hệ thống WCDMA Hình 5.19.Sơ đồ thực hiện tính toán AUTHR với kỹ thuật móc nối, thay thế, và hoán vị C. Tính toán AUTHR sử dụng kỹ thuật DM Kỹ thuật DM do Davies và Meyer đề xuất năm 1985, đ−ợc ứng dụng để thực hiện tạo khoá trong kỹ thuật tạo số liệu nhận thực AUTHR, dựa trên ý t−ởng của thuật toán CBC nh− đã nêu ở ch−ơng tr−ớc. Trong kỹ thuật này sử dụng thuật toán DES trong quá trình tạo khoá theo sơ đồ sau: Trong đó khối IV là khối khởi đầu bất kỳ, và để tăng tính ngẫu nhiên hoá, ng−ời ta th−ờng thay đổi số liệu này. Các b−ớc thực hiện nh− sau: - 70 - Bảo mật trong hệ thống di động WCDMA 1. Tạo ra 192 bit từ 152 bit các CSDL ban đầu của hiệu lệnh chung, bằng cách cộng thêm 40 bit 0 vào cuối 2. Chia khối 192 bit trên thành ba khối, mỗi khối 64 bit, các khối này sẽ dùng để tạo khoá bằng kỹ thuật DES nh− hình 5.20 DES DES DES H3 H2H1 IV M3 M1 M2 Hình 5.20. Thuật toán tính toán số liệu nhận thực sử dụng kỹ thuật DM 3. Chọn một số khởi đầu ngẫu nhiên 64 bit IV (hoặc H0), khối này sẽ đóng vai trò là dữ liệu đầu vào của thuật toán DES 4. Tính toán H1 qua thuật toán DES với khoá lặp 16 lần nh− trong thuật toán DES (mỗi khối vòng lặp 16 lần rồi mới cho kết quả cuối cùng), và đầu ra H1 là đầu vào của khối thứ hai 5. Thực hiện tính toán t−ơng tự với khối thứ hai, đầu ra H2 lại là đầu vào của khối thứ ba qua 16 vòng lặp 6. Thực hiện tính toán t−ơng tự với khối cuối cùng – khối thứ ba, kết quả chúng ta thu đ−ợc một khoá H3 64 bit để từ đó tạo nên AUTHR 7. loại 5 bit có trọng số cao nhất và 5 bit có trọng số thấp nhất, còn 54 bit, lấy một bit trên mỗi tập hợp ba bit chúng ta có đ−ợc 18 bit AUTHR Các b−ớc thực hiện thuật toán DES đã đ−ợc diễn tả rõ ràng ở ch−ơng tr−ớc Sau khi thực hiện mô phỏng bằng phần mềm (có thể tham khảo trong CD) và thực hiện với: Ví dụ: các khối đầu vào M1= 7a138b2524af17c3, M2 = 17b439a12f51c5a8, M3 = 51cb360000000000, H0(IV) = 67542301efcdab89 Kết quả thu đ−ợc: AUTHR = 100001110101111110 - 71 - Nhận thực và bảo mật trong hệ thống WCDMA Ch−ơng trình này thực hiện với thời gian thực hiện: execution_timeTB = 3.484 (s) D. Ch−ơng trình cập nhật SSD bằng thuật toán MD5 Quy trình này sử dụng thuật toán băm một chiều MD5 nh− đã nêu ở phần tr−ớc. Trong đó sử dụng các hàm cơ sở: F, G, H, I F (X, Y, Z) = X.Y + X’.Z G(X, Y, Z) = X.Z + Y.Z’ H (X, Y, Z) = X ⊕ Y ⊕ Z I (X, Y, Z) = Y ⊕ (X +Z’) Trong đó X’ = Not (X). Đây là các hàm không tuyên tính thực hiện tham chiếu theo hình sau: =============================== X Y Z F G H I 0 0 0 0 0 0 0 0 0 1 1 0 1 0 0 1 0 0 1 1 0 0 1 1 1 0 0 1 1 0 0 0 0 1 1 1 0 1 0 1 0 1 1 1 0 1 1 0 0 1 1 1 1 1 1 0 ========================================== Hình 5.21: Bảng tham chiếu các hàm cơ bản F, G, H, I của thuật toán tạo khoá Quá trình cập nhật SSD đ−ợc thực hiện theo các b−ớc sau đây: 1. Từ các bit ban đầu cộng thêm để tạo nên một khối 512 bit, chia khối này thành 16 khối M[i], 0 ≤ i ≤ 15 2. Đặt các giá trị khởi đầu cho thuật toán MD5 A = 67452301, B = EFCDAB89, C = 98BADCFE, D = 10325476 3. Tác dụng của các hàm F, G, H, I đối với các khối trên, trong đó các hàm đ−ợc định nghĩa nh− sau: FF (a, b, c, d, M[k], s, i): a =b + ((a + F (b, c, d) + M[k] +T[i]) <<< s) - 72 - Bảo mật trong hệ thống di động WCDMA GG (a, b, c, d, M[k], s, i): a =b + ((a + G (b, c, d) + M[k] +T[i]) <<< s) HH (a, b, c, d, M[k], s, i): a =b + ((a + H (b, c, d) + M[k] +T[i]) <<< s) II (a, b, c, d, M[k], s, i): a =b + ((a + I (b, c, d) + M[k] +T[i]) <<< s) s là số b−ớc dịch trái. i là chỉ số của phần tử mảng T, với thứ tự nh− sau : từ trên xuống d−ới và từ trái sang phải --------------------------------------------------------- d76aa478 f61e2562 fffa3942 74B1A24D e8c7b756 C0414BC0 8771f681 43AB0398 242070db 265e5a51 069D9122 AB9427E9 c1bdceee E9B6C7AA fde5380c 3D93A27B f57c0faf d62f105d 1D1652A6 665B99C3 3AAB1B7B 02441453 0276AEC0 8F2CCC92 20BCA6E1 d8a1e681 7472BD08 0010147D DD529708 E7D3FBC8 38683A08 85A465D1 43476BAB 21e1cde6 A324F8AE 77A8864F 55EFE87C c33707d6 eaa127fa 862CEEE0 FFFF5BB1 f4d50d87 DAEF3085 2301E396 895CD7BE 455a14ed 0488B585 CF281DA3 6B901122 A9E3E905 D9D568B9 F883908B fd987193 fcefa3f8 E6DB99E5 DD5F0235 a679438e 676F02D9 1fa27cf8 2ADCE2DB 49b40821 8d2a4c8a c4ac5665 EB87D391 ------------------------------------------------------------------------------ Hình 5.22. Ma trận T Thực hiện tính toán 4 vòng, 64 b−ớc theo thứ tự sau đây: • Vòng 1: Tính toán FF (a, b, c, d, M[k], s, i) hay tính toán: a =b + ((a + F (b, c, d) + M[k] +T[i]) <<< s) FF(A,B,C,D,M0,7,1); FF(D,A,B,C,M1,12,2); FF(C,D,A,B,M2,17,3); FF(B,C,D,A,M3,22,4); FF(A,B,C,D,M4,7,5); FF(D,A,B,C,M5,12,6); FF(C,D,A,B,M6,17,7) ; FF(B,C,D,A,M7,22,8); FF(A,B,C,D,M8,7,9); FF(D,A,B,C,M9,12,10); FF(C,D,A,B,M10,17,11); FF(B,C,D,A,M11,22,12); - 73 - Nhận thực và bảo mật trong hệ thống WCDMA FF(A,B,C,D,M12,7,13); FF(D,A,B,C,M13,12,14); FF(C,D,A,B,M14,17,15); FF(B,C,D,A,M15 ,22,16); • Vòng 2:Tính GG (a, b, c, d, M[k], s, i) hay a =b + ((a + G (b, c, d) + M[k] +T[i]) <<< s) GG(A,B,C,D,M1,5,17); GG(D,A,B,C,M6,9,18); GG(C,D,A,B,M11,14,19); GG(B,C,D,A,M0,20,20); GG(A,B,C,D,M5,5,21); GG(D,A,B,C,M10,9,22); GG(C,D,A,B,M15,14,23); GG(B,C,D,A,M4,20,24); GG(A,B,C,D,M9,5,25); GG(D,A,B,C,M14,9,26); GG(C,D,A,B,M3,14,27); GG(B,C,D,A,M8,20,28); GG(A,B,C,D,M13,5,29); GG(D,A,B,C,M2,9,30); GG(C,D,A,B,M7,14,31); GG(B,C,D,A,M12,20,32); • Vòng 3: Tính HH (a, b, c, d, M[k], s, i) hay a =b + ((a + H (b, c, d) + M[k] +T[i]) <<< s) HH(A,B,C,D,M5,4,33); HH(D,A,B,C,M8,11,34); HH(C,D,A,B,M11,16,35); HH(B,C,D,A,M14,23,36); HH(A,B,C,D,M1,4,37); HH(D,A,B,C,M4,11,38); HH(C,D,A,B,M7,16,39); HH(B,C,D,A,M10,23,40); HH(A,B,C,D,M13,4,41); HH(D,A,B,C,M0,11,42); HH(C,D,A,B,M3,16,43); HH(B,C,D,A,M6,23,44); HH(A,B,C,D,M9,4,45); HH(D,A,B,C,M12,11,46); HH(C,D,A,B,M15,16,47); HH(B,C,D,A,M2,23,48); • Vòng 4: Tính II (a, b, c, d, M[k], s, i) hay a =b + ((a + I (b, c, d) + M[k] +T[i]) <<< s) II(A,B,C,D,M0,6,49); II(D,A,B,C,M7,10,50); II(C,D,A,B,M14,15,51); II(B,C,D,A,M5,21,52); II(A,B,C,D,M12,6,53); II(D,A,B,C,M3,10,54); II(C,D,A,B,M10,15,55); II(B,C,D,A,M1,21,56); II(A,B,C,D,M8,6,57); II(D,A,B,C,M15,10,58); II(C,D,A,B,M6,15,59); II(B,C,D,A,M13,21,60); II(A,B,C,D,M4,6,61); II(D,A,B,C,M11,10,62); II(C,D,A,B,M2,15,63); II(B,C,D,A,M9,21,64); 4. Cuối cùng kết quả thu đ−ợc là các biến a, b, c, d đ−ợc đem cộng với các giá trị A, B, C, D ban đầu, và kết quả: SSD-A = (a ⊕ A) || (b ⊕ B) và SSD-B = (c ⊕ C) || (d ⊕ D) Sau khi thực hiện mô phỏng ch−ơng trình này (có thể tham khảo trong đĩa CD) và thực hiện với Ví dụ: Quá trình cập nhật với CSDL ban đầu: 7a138b2524af17c317b439a12f51c5a851cb36 Qua quá trình ch−ơng trình mô phỏng thực hiện cho ta kết quả SSD_A_NEW = FD17A5E0BD2BA094 SSD_B_NEW = FC675723BE9C61B9 Thời gian thực hiện ch−ơng trình: execution_time = 2.6613 (s) - 74 - Bảo mật trong hệ thống di động WCDMA Ngoài các ph−ơng pháp trên ra còn rất nhiều các ph−ơng pháp để tạo ra dữ liệu nhận thực AUTHR và cập nhật SSD (tham khảo thêm các ch−ơng trình mô phỏng với đĩa CD đi cùng tài liệu này) Nhận xét các thuật toán: Đối với các thuật toán xử lý theo khối nh− kỹ thuật A và B, có thể xử lý các khối này một cách đồng thời thay vì xử lý tuần tự các khối nh− trên đã thực hiện, đây là điều kiện quan trọng để thực hiện việc xử lý song song. Các Chip xử lý cũng có thể dựa vào điều kiện này để thực hiện tính toán theo cấu trúc xử lý song song nhằm làm tăng tốc độ xử lý thuật toán. Đối với các thuật toán đòi hỏi phải xử lý tuần tự nh− kỹ thuật DM và MD5 thì cách duy nhất để tăng tốc độ thực hiện thuật toán là tăng tốc độ xử lý tính toán từng b−ớc. Tuy nhiên dù là các thuật toán có thể sử lý song song hay các b−ớc tuần tự thì khả năng bị giải mã không phải nằm ở bản thân thuật toán mà nằm ở các thông số mật đầu vào của thuật toán, do đó vấn đề mấu chốt là phải đảm bảo an toàn tuyệt đối cho các CSDL này. Với các thuật toán có các số liệu khởi đầu IV (khối dữ liệu khởi đầu của bản thân thuật toán) ta có thể tăng độ an toàn bằng cách th−ờng xuyên thay đổi các số liệu này. Kết luận: Qua quá trình thực hiện mô phỏng các thuật toán, tôi nhận thấy rằng: - Việc sử dụng các thuật toán này vào thủ tục nhận thực và bảo mật thông tin trong hệ thống WCDMA là phù hợp. - Các ch−ơng trình thử cũng sẽ phải thực hiện các b−ớc lần l−ợt nh− trên, thời gian thực hiện các ch−ơng trình t−ơng đối lớn (nhanh: 0.2 (s), chậm đến hơn 3(s)), tất nhiên đây mới chỉ thử trên máy PC, không phải là máy chuyên dụng. Trên thực tế các quá trình này sẽ đ−ợc thực hiện trên các Chip chuyên dụng đạt tốc độ nhanh hơn, tuy nhiên với số l−ợng các b−ớc và với tốc độ xử lý hiện nay và trong một t−ơng lai gần, các khoá cũng có thể bị phá nh−ng việc này chiếm một thời gian đủ lớn để ta có thể khẳng định đó là thuật toán an toàn - 75 - Nhận thực và bảo mật trong hệ thống WCDMA - Trong các kỹ thuật nêu trên, quan trọng nhất là các CSDL cố định và bán cố định phải đ−ợc đảm bảo an toàn tuyệt đối. Vấn đề mấu chốt của chúng ta là phải có các thuật toán mật mã hoá hoàn thiện, do đó các thuật toán phục vụ cho mục đích này luôn cần đ−ợc cải tiến, hoàn chỉnh để có thể thực hiện truyền các CSDL bán cố định một cách an toàn. Chúng ta cần phải nghiên cứu các thuật toán hoàn chỉnh hơn theo kiểu hàm một chiều (hay hàm một phía) có không gian khoá nhiều hơn, mang tính ngẫu nhiên hoá cao để có thể chống lại các loại xâm nhập cả thụ động và tích cực. - Song song với phát triển các kỹ thuật mật mã hoá, chúng ta còn phải nghiên cứu hoàn thiện các kỹ thuật l−u giữ các CSDL tr−ớc hết là đối với các CSDL cố định, sau đó đến các CSDL bán cố định, vì kỹ thuật l−u trữ càng tốt càng đảm bảo tính không thể xâm nhập của các dữ liệu này. - Tăng c−ờng nghiên cứu các thuật toán mang tính móc xích, nh− ta đã thấy chỉ có các thuật toán đòi hỏi kết quả tính toán sau liên quan chặt chẽ đến các kết quả tính toán tr−ớc đó thì mới có thể hạn chế đ−ợc khả năng áp dụng cách sử lý song song - là một trong các cách làm tăng tốc độ thám mã. - Đối với các CSDL bán cố định nh− SSD và COUNT, không cần phải chỉ khi đăng nhập hay kết cuối mới có sự cập nhật, trong một hệ thống cần các CSDL mang tính ngẫu nhiên cao, việc cập nhật các thông số này cần đ−ợc xảy ra ở thời điểm bất kỳ. Đối với CSDL tăng từng b−ớc một nh− COUNT, nên đ−a vào các báo hiệu giả, tức là có báo hiệu nh− báo hiệu cập nhật nh−ng thực ra không cập nhật thông số, tất nhiên đây cũng chỉ là ý t−ởng, nh−ng đôi khi chúng ta cũng áp dụng chiến thuật này để có thể lừa kẻ thám mã. Với sự ứng dụng các thuật toán mật mã hiện đại một cách hiệu quả, hệ thống WCDMA đã có một cơ chế nhận thực t−ơng đối hoàn chỉnh. Với các kỹ thuật mật mã hoá và bản thân kỹ thuật trải phổ đã làm cho WCDMA nhận đ−ợc một sự đánh giá cao về khả năng bảo mật. Có thể nói rằng hệ thống WCDMA đã kế thừa tất cả các thành tựu của hệ thống di động thế hệ 2 (2G) để tạo nên một thế hệ viễn thông mới hoàn thiện hơn. ở Việt Nam, bên cạnh việc tích cực nắm bắt, triển khai và ứng dụng các kỹ thuật viễn thông mới, ta có thể nghiên cứu cải tiến các thuật toán, và tạo ra các thuật toán mới thực sự hoàn thiện để góp phần phát triển kỹ thuật bảo mật ở các thế hệ di động và các thế hệ mạng viễn thông nói chung trong t−ơng lai. Với tiềm năng con ng−ời của chúng ta, theo ý kiến tôi đây cũng chỉ là một sự phát huy tri thức và khả năng tính toán có sẵn trong mỗi chúng ta và tôi tin rằng điều đó là có thể thực hiện đ−ợc. - 76 - Bảo mật trong hệ thống di động WCDMA Tài liệu tham khảo Tài liệu tham khảo [1] GS.TSKH. Phan Đình Diệu Lý thuyết mật mã và An toàn thông tin (trang 8 -131) Đại học công nghệ - Đại học quốc gia hà nội - 2002 [2] TS. Nguyễn Phạm Anh Dũng CdmaOne và cdma2000 (trang 232 – 344) - Nhà xuất bản B−u điện 2003 [3] TS. Nguyễn Phạm Anh Dũng Thông tin di động thế hệ 3 (trang 191 - 202) - Nhà xuất bản B−u điện 12-2001 [4] Trịnh Nhật Tiến Một số vấn đề về an toàn dữ liệu (trang 3 – 37) Đại học Công nghệ - Đại học Quốc gia Hà Nội [5] PGS.TS. Thái Hồng Nhị & TS. Phạm Minh Việt An toàn thông tin - Mạng máy tính truyền tin số và truyền dữ liệu (Trang 5 – 134) Nhà xuất bản Khoa Học và Kỹ thuật 2004 [6] TS. Trịnh Anh Vũ Giáo trình thông tin di động (ch−ơng 5 trang 38 - 48) Đại học Công nghệ - Đại học Quốc gia Hà Nội [7] Dr. Man Young Rhee CDMA Cellular Mobile Communications and Network Security Hanyang University, 1998 Prentice Hall PTR (Pages 355 – 507) [8] J.S. Blogh, L. Hanzo Third-Generation Systems and Intelligent Wireless Networking 2002 John Wiley & Sons Ltd (Pages 27 – 87) Bảo mật trong hệ thống di động WCDMA Tài liệu tham khảo [9] John.G van Bosese Signaling in Telecommunication Network - 1998 John Wiley & Sons, Inc (Chapter 17, pages 418 – 531) [10] Keiji Tachikawa W-CDMA: Mobile Communications System. 2002 John Wiley & Sons, Ltd (Pages 81 - 211) [11] Nachiketh R.Potlapally Srivaths Ravi Amand Raghunathan Optimizing Public-Key encryption for Wireless Clients 0 - 7803 – 7400 -2/02 (C) 2002 IEEE [12] P. Nicopolitidis, M. S. Obaidat, G.I. Papadimitriou and A .S .Pornportsi Wireless Networks 2003 John Wiley & Sons, Ltd. (Chapter 5, pages 151 - 188) [13] Roger J. Sutton Secure Communications. - 2003 John Wiley & Sons, Ltd. (Pages 1 – 83 and 113 – 139) [14] Raymond Steele, Chin-Chun Lee and Peter Gould GSM, cdmaOne and 3G Systems - 2001 John Wiley & Sons Ltd (Chapter 6, pages 404 - 498) [15] Savo G. Glisic Adaptive WCDMA: Theory and Practice. 2003 John Wiley & Sons, Ltd (Pages 519 – 537) [16] Willie W. Lu SIEMENS, USA Broadband Wireless Mobile: 3G and Beyond 2002- John Wiley & Sons, Ltd.ISBN: 0-471-48661-2 (Pages 215 – 220)